در این مقاله آموزشی به بررسی نحوه فعالسازی HTTPs برای webfig میکروتیک می پردازیم.

برای عملکرد درست HTTPs ابتدا باید یک Certificate مناسب ایجاد کنیم یا از سایت هایی که سرویس SSL ارائه می کنند این مجوز یا Certificate را تهیه کنیم. در نظر داشته باشید که می توانیم از طریق خود روتر میکروتیک نیز یک Certificate بصورت self-signed ایجاد کنیم و برای سرویس HTTPs از آن استفاده کنیم.

سرویس webfig از مجوز های wildcard نیز پشتیبانی میکند به این صورت که شما می توانید برای یک دامنه بصورت farnadco.com.* یک certificate ایجاد کنید و روی این سرویس فعال کنید.

برای ایجاد certificate توسط روتر ابتدا به میکروتیک لاگین می کنیم ( با استفاده از Winbox یا راه های ارتباطی دیگر مثل Telnet و SSH و... ) و یک ترمینال باز کرده و دستورات زیر را وارد می کنیم:

ابتدا یک root CA در میکروتیک ایجاد می کنیم:

certificate add name=LocalCA common-name=LocalCA key-usage=key-cert-sign,crl-sign

سپس root CA ایجاد شده با توسط روتر sign می کنیم:

certificate sign LocalCA

در صورتی که از قبل در شبکه یک CA Server داشته باشیم می توانیم روی آن یک Certificate ایجاد کرده و آن را sign کنیم و روی روتر میکروتیک خود import کنیم در غیر این صورت از روش بالا برای ایجاد root CA استفاده می کنیم.

در این مرحله برای لایگن به روتر یک Certificate ایجاد می کنیم:

certificate add name=Webfig common-name=192.168.20.1

در صورتی که آدرس Certificate با آدرسی که شما از طریق آن به روتر متصل می شوید متفاوت باشد در مرورگر خود خطای invalid certificate را دریافت می کنید به همین دلیل اگر از طریق نام دامنه به روتر متصل می شوید, آدرس Certificate را برای آن ایجاد کنید و اگر دامنه ندارید می توانید از طریق IP address یک Certificate ایجاد کنید و از همان طریق به روتر متصل شوید.

در مثال ما آدرس IP روتر 192.168.20.1 است.

بعد از ایجاد Certificate آن را با استفاده از خود روتر sign می کنیم:

certificate sign Webfig ca=LocalCA 

در مرحله پایانی کافی است سرویس www-ssl را از تنظیمات روتر فعال کنیم و Certificate که ایجاد کردیم را به آن معرفی کنیم:

ip service set www-ssl certificate=Webfig disabled=no

هم اکنون میتوانیم از طریق https://192.168.20.1 به روتر لاگین کنیم.

بصورت پیش فرض مرورگر ها self-signed certificates را معتبر نمیدانند و پیغام خطا نمایش می دهند. در این هنگام باید CA که ایجاد کردیم را export بگیریم و در trusted root certificate ویندوز import کنیم.

در صورت وجود سوال در مورد این مقاله لطفاً از طریق دیدگاه های همین بخش با ما در ارتباط باشید.